Panda USB and AutoRun Vaccine работает просто блестяще! Файл autorun.inf, создаваемый ею на флешке (дабы предотвратить создание такого файла вирусом) невозможно ни удалить, ни переименовать , ни модифицировать, ни открыть.

Познакомимся с программой поближе, рассмотрим ее возможности и метод, на котором базируется принцип работы.

ПРОГРАММА
Panda USB and AutoRun Vaccine.

Напомню что «Panda USB Vaccine currently only works on FAT & FAT32 USB drives». Маленький размер файла (всего 393Kb) и спартанский интерфейс — все продумано, ничего лишнего. Добавлю что программа бесплатная.

Кнопкa «Vaccinate USB». Специально создадим заранее на флешке файл autorun.inf с атрибутами RAHS — это никоим образом не помешало программе, при нажатии на упомянутую кнопку, перезаписать его своим одноименным файлом, который, «невозможно ни удалить, ни переименовать, ни модифицировать, ни открыть». Открываем флешку в WinHex, смотрим атрибут файла autorun.inf. И что же мы видим:

Мы видим что изменен атрибут файла: 0х40. В статье FAT12, FAT16 and FAT32 Windows File System находим расшифровку, которой нет в FATGEN:

0x40 Device (internal use only, never found on disk)
0x80 Unused

Т.е. атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций». Panda Software реализовали этот способ в крохотной программе, нажатием одной лишь кнопки — не заставляя пользователя прибегать к WinHex.

Средствами программы отменить вакцинацию флешки невозможно. Если уж появилась необходимость создать на флешке свой autorun.inf (например, чтобы сделать ее загрузочной) — то WinHex вам в помощь, или переформатирование (для этой цели, кстати, хорошо использовать HP USB Disk Storage Format Tool).

Вторая кнопка программы «Vaccinate computer». Проверим, что она делает:

Это знакомый способ:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

@SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf — то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того — не запускается он и при двойном клике по букве диска этого носителя в проводнике.

Способ хорош (замечу, что в программе присутствует функция отмены этого действия, на тот случай если авторан пользователю все же понадобится, осуществляемая повторным нажатием на кнопку, надпись на которой будет «Remove vaccine»), но добавлю что для полного отключения автозапуска будет необходимо добавить еще 3 ключа реестра (в приведенном синтаксисе они добавлаются через bat-файл):

REG ADD «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files» /v "*.*" /d "" /f
В CancelAutoplay\Files находятся текстовые параметры, содержащие имена файлов, отыскав которые на носителе встроенный AutoRun запускаться не станет, и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).
REG ADD «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer» /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с определенных приводов по их типу. Поскольку нам авторан вообще не нужен, используем второе.
REG ADD «HKLM\SYSTEM\CurrentControlSet\Services\Cdrom» /v AutoRun /t REG_DWORD /d 0 /f
Cdrom — полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной).

Из дополнительных возможностей программы: если запустить программу с ключом (кроме этого ключа есть еще несколько — см. страницу программы)

USBVaccine.exe /resident

то она будет висеть резидентно, и при подключении новой флешки, будет предлагать вакцинировать ее: